Tentatives de Phishing
-
Les ravages des “faux acheteurs” sur les sites de vente en ligne
Depuis plusieurs mois, une nouvelle arnaque sévit sur les places de marché en ligne telles qu’Anibis, Ricardo ou Marketplace. Celle-ci cible les vendeurs, qui peuvent se faire dépouiller de toutes leurs économies en quelques clics.
La jeune femme a été victime d’une arnaque qui cible non pas les acheteurs mais les vendeurs de places de marché en ligne telles que Marketplace, Anibis ou Ricardo. Elle a mis quelques meubles en vente lors d’un déménagement, et c’est ainsi qu’elle a été repérée par les escrocs.
Faux site de La Poste
Ceux-ci l’ont contactée via WhatsApp avec un numéro suisse. La personne “m’a demandé si elle pouvait organiser un transporteur pour venir chercher le lit, vu qu’elle n’avait pas de voiture suffisamment grande pour le prendre, ce qui m’a paru assez cohérent”, témoigne la trentenaire. En réalité, il s’agit d’une technique régulièrement utilisée par les malfrats: celle d’un système de livraison fictif.
Un piège qui se referme rapidement: la fausse acheteuse guide la jeune femme vers un pseudo site de La Poste à travers lequel elle prétend pouvoir organiser la livraison et le paiement du meuble. La Poste ne propose pas ce service, mais le faux site est très bien fait et la victime n’y voit que du feu. Elle y entre son nom, son adresse, son IBAN et le numéro ID de sa carte, ainsi qu’un code de vérification.
Sans qu’elle ne s’en aperçoive, les voleurs saisissent ainsi les informations permettant d’accéder à ses comptes, et les siphonnent à coups d’achats de plusieurs milliers de francs sur des sites tels que Microspot, Brack ou Galaxus. “Quand j’ai reçu les décomptes de la banque, j’ai vu que les quatre premières tentatives de paiement (…) avaient été stoppées. Le système anti-fraude FalconFraud les a identifiées comme suspicieuses et les a stoppées… Mais les dix suivantes ont passé”, raconte la témoin.
PostFinance rejette la responsabilité
PostFinance n’explique pas pourquoi le système n’a contré que les premières tentatives. Mais pour l’établissement bancaire, la seule responsable de ce vol est sa cliente: “Il est établi que [la cliente] a contrevenu à ses devoirs de diligence en transmettant – à plusieurs reprises – ses données confidentielles à des tiers. La fraude dont [elle] fait valoir avoir été victime n’aurait pas eu lieu si elle n’avait pas divulgué tous les éléments de sécurité personnels à des tiers.”
En Suisse, le volume d’arnaques en ligne est considérable: “Chaque année, 22’000 cyberescroqueries sont rapportées au corps de police”, commente Olivier Beaudet-Labrecque, doyen de l’institut de lutte contre la criminalité économique de la Haute Ecole Arc à Neuchâtel. “On a une spécialisation des cybercriminels, y compris en Suisse romande puisque l’infraction est réalisée en français en utilisant le site de La Poste”.
La police peine à endiguer le phénomène car de nombreux malfrats agissent depuis l’étranger. “L’approche que le Royaume-Uni met en place est intéressante”, relève le spécialiste. “A partir de cette année, les banques y ont une responsabilité par rapport à leurs clients. En cas de fraude, elles devront les rembourser à hauteur d’un demi-million de francs maximum par fraude.”
Je n’ai pas compris en quoi la victime aurais eu besoin de payer quoi que ce soit, et donc, rentrer ses informations bancaires, sauf si l’acheteur lui demandait de payer la livraison, quoi qu’il en soit, l’arnaque existe, fonctionne, et donc requiers la plus grande méfiance, comme d’habitude.
Quelques conseils pour ne pas se faire avoir
Les escroqueries en ligne sont de mieux en mieux faites et de plus en plus difficiles à détecter : arnaqueurs qui s’expriment dans un français parfait, voleurs qui répondent à des numéros suisses, faux sites sans faute d’orthographe, etc.
“Ça peut arriver à n’importe qui, à vous, à moi, même aux personnes les plus aguerries qui auraient par exemple effectué une formation de prévention contre la cybercriminalité”, avertit Jonathan Grossenbacher, porte-parole de la Police cantonale bernoise. “Soyez toujours sur vos gardes, méfiez-vous de ce que vous recevez, méfiez-vous des liens et si vous n’êtes pas sûrs, demandez un avis extérieur, enfin n’agissez pas sous le coup de l’émotion.”
La Prévention suisse de la criminalité (PSC) souligne par ailleurs que les sites de petites annonces n’indiquent jamais travailler officiellement avec certains services de livraison ou coopérer avec La Poste ou DHL. Elle indique également que La Poste n’effectue jamais de transactions financières sur le pas de la porte – une “option” proposée par certains escrocs.
Au niveau de la vente en ligne, si la personne ne peut pas venir chercher le produit et insiste pour passer par un service de transport compliqué ou inconnu, “un signal d’alarme devrait se déclencher chez vous”, résume la PSC.
À noter que tout site vous proposant un moyen de payement de vos achats peut simuler le système de payement pour vous soutirer les informations en question, seule la vérification à deux facteurs peut vous en préserver. Ou alors, utilisez une carte de crédit à prépaiement juste garnie du montant à payer…
-
@duJambon Et leboncoin, on en parle ?
Avant les faux acheteurs étaient des utilisateurs particuliers, facile à signaler et avec des preuves à faire virer.
Maintenant les gars s’inscrivent comme utilisateurs professionnels, et ça a des conséquences fâcheuses.
Ils ne passent pas par la messagerie du site, on reçoit les mails directement sur notre adresse de contact normalement non divulguée.
Donc, ne jamais répondre.
On ne peut pas les signaler, ni accéder à leur compte pour au moins signaler les éventuelles annonces qu’il auraient pu passer. Ca c’est le staff du bon coin qui me l’a conseillé… Conseil fallacieux, limite ils sont complices. -
@El-Bbz Je ne suis pas “pratiquant” du bon coin (frontière hors europe oblige) et je me désolais que si peu de monde nourrisse le topic.
Alors comme le dit Maître Panisse à César: “Allons, César, parle !”
-
Arnaque au faux conseiller bancaire : “C’est plus simple que vendre du shit”, un escroc raconte les dessous du piratage
Comment des escrocs peuvent-ils tromper les clients de différentes banques, en maîtrisant le moindre détail de leur adresse et de leur civilité? L’un d’eux nous livre les ficelles d’un juteux business, qui séduit des arnaqueurs de plus en plus jeunes.
Au petit jeu des arnaques aux faux conseillers bancaires, les escrocs ne sont jamais seuls à tirer les ficelles. Si une personne peut se faire passer pour un faux conseiller bancaire, c’est qu’elle a pu se procurer les informations personnelles soutirées, en ligne, par un autre hacker. “Il y a souvent quatre coupables, qui ne se connaissent pas”, explique ainsi un homme, qui prétend avoir observé de très près le ballet des faux conseillers bancaires.
La première étape est le “spoofing”. Par le biais d’un SMS frauduleux, un hacker parvient à mettre la main sur vos données personnelles. "Le plus courant, ce sont les fausses amendes de stationnement, issues d’une interface reproduisant la plateforme gouvernementale ANTAI à la perfection. Pour ne pas payer une amende forfaitaire majorée, les victimes payent en ligne indiquant leur nom, prénom, adresse et livrant également le numéro de leur carte bancaire, sa date d’expiration et son précieux cryptogramme.
Vend coordonnées bancaires sur Internet
Ce sont ces données que le hacker va monétiser sur Internet, et à en croire notre source, les récupérer est un jeu d’enfants et ne coûterait qu’une vingtaine d’euros, sur des groupes privés, en ligne. Un business alléchant qui attirerait de plus en plus de mineurs, bien souvent collégiens, qui voient là une façon facile, et peu chère de se faire de l’argent. “C’est plus simple que vendre du shit”, ironise l’arnaqueur. On l’a vu, dans l’actualité, de nombreux jeunes ont récemment été interpellés, soupçonnés d’être à la tête d’un trafic informatique, depuis leur chambre.
En possession des coordonnées personnelles et des numéros de carte bleue, ces pirates ont le champ libre pour piéger leurs victimes et ils savent très bien qui viser. “Si la personne répond au SMS, on sait déjà qu’elle peut tomber dans le piège, on cible les personnes faibles”, confie le “spécialiste”. Il faut ensuite savoir inquiéter la personne tout en la mettant en confiance, poursuit ce dernier. Dire qu’il y a urgence, mais que si la victime fait ce qu’il faut, il n’y aura aucun problème…
Des virements directs
“Il faut dire que le paiement qu’ils doivent valider sur leur application bancaire n’est qu’une empreinte bancaire, qu’elle permet l’annulation de la transaction, ce qui est faux. Au bout du fil, l’escroc procède au paiement”, détaille notre source. Ce dernier révèle même qu’une nouvelle forme d’arnaque se développe, elle permet des virements instantanés sur le compte des faux conseillers bancaires. “On dit que leur compte est infecté et qu’il faut le sécuriser. Ils virent alors leurs fonds sur ce qu’on appelle un livret de sécurité. Mais il s’agit en fait de notre compte bancaire…”, explique notre témoin.
“Il ne faut pas imaginer qu’il y a une mafia organisée derrière tout ça”, commente-t-il. “Simplement des personnes douées en informatique qui soutirent des données personnelles et d’autres, qui saisissent l’opportunité de les acheter, et de les utiliser”.
-
Attention si vous recevez une conovation de la police.
-
À quoi ça sert d’aller à l’école ? Bonne question mon fils, on se le demande…
-
@duJambon a dit dans Tentatives de Phishing :
reproduisant la plateforme gouvernementale ANTAI à la perfection
Sauf l’adresse, que personne regarde! c’est pourtant à la portée de tout le monde.
-
Raccoon Admin Seeder I.T Guy Windowsien Apple User Gamer GNU-Linux User Teama répondu à duJambon le dernière édition par
@duJambon au lyçée Notre Dame ça ne sert manifestement à rien.
-
Première tentative de l’année:
Bonjour,
Nous faisons partie du service de comptabilité de votre agence immobilière. Nous avons constaté que le paiement de votre loyer pour décembre n’est pas présent dans nos dossiers. Afin de clôturer notre compte annuel, nous vous serions reconnaissants de nous faire parvenir votre quittance de paiement pour ce mois.
En outre, nous souhaitons nous assurer que vous avez bien reçu nos nouvelles coordonnées bancaires (IBAN) pour les virements de loyer à venir.
Merci par avance pour votre collaboration.
Cordialement,
La comptabilité
Emis de: gestion-immobilier [email protected]
-
J’ai déjà reçu ça il y a au moins un an. Immédiatement filtré corbeille
-
@Popaul a dit dans Les utilisateurs de LastPass ciblés par des attaques de phishing suffisamment efficaces pour tromper même les plus avertis :
rare de ne pas trouver de fautes d’ortho dans ce genre de scam
Tout fout le camp, le scam c’est plus ce que c’était.
